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Abrege 



The method involves a first party choosing a parameter at random from a number of selectable 
parameters. A communication guarantee formed from a certain number of bits is calculated as a function 
of the parameter and transmitted to a second party. The second party receives the communication 
guarantee and an element of the communication guarantee consisting of a certain number of bits is 
selected at random and sent to the first party. The first party performs a number of calculations using the 
element and sends the results to the second party. The second party receives the results and performs 
calculations using these results to verify that the calculation provides the communication guarantee in 
which case the first party is authenticated. A level of security equal to 1 - (1/u) can be defined where u 
equals the number of elements used containing a certain number of bits. 
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PROCEDE D'AUTH ENTIFICATION A NOMBRE REDUIT DE BITS TRANSMIS. 

fe7)Procede d'authentification a nombre redult de bits 
transmis. 

On reduit considerablement le nombre de bits de Penga- 
gement envoye par Pentite a authentifier mais on augments 
de quelques unites seulement le nombre de bits de Tele- 
ment tire par Pentite authentifiante. 

Application aux precedes d'authentification dits a 
connaissance nulle. 
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PROCEDE D 'AUTHENTIFI CATION 
A NOMBRE REDUIT DE BITS TRANSMIS 

Doitiaine technique 

La P r6senfc e invention a pour obiet »n 
Proc.de d'authentification * „^ re 

traa«x,. Elle trouve une application dans la 
cryptographie dite a cle publique. Dans de tels 
process, une entite a authentifier possede une ell 
10 secrete et une cle publique associee. Une entity 
authentifiante a uniqueznent besoin de cette 
Publique pour realise 1'authentification. 

L ' invention concerne plus D r6ci S to oni - 
encore 1. domaine des p[oa ^ s a . L^ tl 7it ti T^ 

ZT?. S *?r " UUe «■"«-*—»-»•>. eel, siqnTfie 
que l-authentification 5e d , roule sylvant 

qur, de f, 5 on prouvSe, et sous des hypotheses reoonnues 
^C""' —a P.r is ooJZut 

tou, , 1' invention trouve une spplicstion dsns 
' 1S! Syst& »" "ecessitsnt d- suthentif ier des 
entires ou des aessaqes, ,„ de signer des measaqes et 
Plus particulierement dsns les syste.es ou le „o!ore Z 
bits trsnsmrs constitue un parametre critique. 

Etat de la technique anterieuro 

j , j . .... ° anS tous ^s protocol., connus 
» authe" Li" ' — eissance nulla, L entite 1 

authentifxer commence par fournir a 1 'entite 
authentifiante un ou plusieurs "enqaqement." ,nott " 
ou eventuellement „ functions de parametres choisis au 
hasard par i -entite i authentifier. 

» authentifianrTenvoi. ^ 

x entity a authentifier un 
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parametre ou "element" note e choisi au hasard (la 
"question",. Dans un troisieme temps, 1'entite a 
authentifier fournit a 1'entite authentifiante un 
resultat correspondant y coherent avec le ou les 
engagement (s) x ou c. 

Dans ces applications, il est souvent 
important que le nombre total de bits transmis soit 
aussx petit que possible, afin notamment de reduire le 
temps de la communication et, dans certaines variantes 
des protocoles de base (decrites plus loin, , de reduire 
le nombre de bits 4 stocker. 

Le but de 1- invention est de reduire de 
facon importante le nombre total de bits transmis dans 
la plupart des protocoles d • identification comma, tout 
en conservant le meme niveau de securite. Plus 
Precxsement, 1' invention minimise le nombre de bits 
transmis dans le sens ou, de facon prouvee, il est 
xmpossable de reduire encore ce nombre sans diminuer le 
20 niveau de securite fourni par le protocole auquel on 

H Tt.T 6 ' P ° Ur ° ertains P"tocoles (p ar exerap i e celui 
de FIAT -SHAMIR (1, cette minimisation a un 

savoir I' augmentation du nombre de secrets que 1'ent'ite 
4 authentifier doit detenir, ainsi qu'une augmentation 
25 proportionnelle non negligeable du nombre de calculs a 
effectuer. Pour d'autres (notamment ceux de SCHNORR (3, 
et de GUILLOU-QUISQUATER (4,,, cette minimisation 
n aggrave de facon sensible aucune autre 
caract^ristique et s»av*ro 
30 interessante ^ ^^^ent 

d ,. . A t±tre d ' temple, 1- invention permet 

d economxser environ 18% des bits transmis dans le 
protocole d- identification de SCHNORR (3,, pour des 

35 etT ClaSSiqUeS de ^ngueurs de parametres universels 
35 et de niveaux de securite. 
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De facon generale, la plupart des 
protocoles d' identification a connaissance nulle 
existants, se deroulent en trois echanges, qui vont 
etre decrits. On suppose, afin de simplifier la 
description, que l'entite authentif iante B connalt deja 
tous les parametres publics caracteristiques de 
l'entite a authentif ier A (identite, cle publique, 
etc.) et necessaires a son identification. 

Lors du premier echange, A fournit a B un 
ou plusieurs engagements c. Lors du second echange, B 
envoie a A 1' element e. Lors du troisieme echange, A 
fournit a B le resultat y correspondant a 1' element e, 
coherent avec le ou les engagement (s) c. Dans certains 
protocoles, il y a deux echanges supplementaires entre 
15 A et B, consistant en un Element et un resultat de 
plus. C'est le cas du protocole de Shamir (2). 

Le nombre u de questions possibles est 
directement relie au niveau de securite du protocole. 
Plus precisement, on peut montrer que, si le protocole 
repose sur un probleme mathematique difficile, et si 
les engagements sont de longueur suffisante (ou la 
longueur designe le nombre.de bits), alors le niveau de 
securite, que l'on definit ici comme la probability de 
detection d'un imposteur (c ' est-a-dire d'une entite C 
qui tente frauduleusement de se faire passer pour A), 
est egal a 1- (1/u) . 

Souvent, on cherche a rendre le nombre de 
bits transmis au cours du premier echange aussi faible 
que possible (les engagements sont aussi courts que 
possible), de facon a reduire le temps et le cout de 
1' authentif ication. Cependant, il peut etre demontre 
que la longueur d'un engagement ne peut etre choisie 
sous un certain seuil sans contrepartie, sauf a 
amoindrir le niveau de securite du protocole. Ce seuil 
depend de 1 ' environnement et plus particulierement du 
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nombre cooperations §16mentaires repute "impossible en 
pratique" a executer en un temps et avec des moyens 
informatiques se situant l f £chelle humaine". De 

fa<?on traditionnelle, ce nombre est souvent pris 6gal & 
2 64 auquel cas le seuil 6voqu<§ ci-dessus est d' environ 
128. Pour des raisons de commodity c'est ce choix qui 
sera fait dans la description qui suit, mais cette 
description pourrait facilement etre adaptee a d'autres 
choix. 

Avec ce choix, la limite des 128 bits pour 
c ne peut etre franchie sans nuire £ la security. En 
particulier, une longueur d' engagement de 64 bits 
seulement permet a 1 1 imposteur de (au minimum) doubler 
la probability de r6ussite de son imposture, et m§me, 
dans certains cas, de rendre cette probability 6gale & 
1. 

L 1 invention permet de franchir la limite de 
128 bits pour les engagements (jusqu'a environ 70 
bits), sans pour autant diminuer le niveau de security, 

20 D'apr£s ce qui a 6t£ expose plus haut, ceci est 
impossible si le reste du protocole est inchang§ : il y 
a done n£cessairement une contrepartie . L r int6r§t de 
1' invention est que cette contrepartie est mineure : il 
suffit d'augmenter l£g£rement le nombre u de questions 

25 possibles, ce qui, en pratique, se traduit par une 
augmentation de trois ou quatre bits de la longueur de 



Expose da 1' invention 

30 L 1 invention consiste done a diminuer de 

fagon importante la longueur des engagements (d 1 environ 
60 bits) et augment er l§g£rement la longueur des 
questions (de 3 ou 4 bits), le protocole modifiy 
suivant 1' invention ayant exactement le m<§me niveau de 

35 security que le protocole non modifiS. 
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L 1 invention s' applique egalement aux 
schemas d f authentif ication de messages et 
eventuellement de signatures num£riques de messages, 
sous certaines conditions explicit6es par la suite. 

De fagon precise, l 1 invention a pour objet 
un proc£de d f authentif ication £ nombre r6duit de bits 
transmis, entre une premiere entity dite & authentifier 
et une seconde entit6 dite authentif iante, ce proc6d6 
comprenant les operations suivantes : 

a) 1 T entity k authentifier choisit au hasard un 
nombre entier r, calcule un nombre appel6 
engagement x ou c fonction du nombre entier r et 
envoie cet engagement x ou c k l 1 entity 
authentif iante, cet engagement comprenant un 
certain nombre de bits, 

b) 1' entity authentif iante regoit l 1 engagement x ou 
c, choisit au hasard un nombre e dans un certain 
intervalle, ce nombre etant appel£ "616ment" et 
ayant un certain nombre de bits et envoie cet 
61§ment e & 1' entity a authentifier, 

c) 1' entity d authentifier regoit l'^l^ment e, 
effectue un calcul utilisant cet element e et 
envoie le r^sultat y & I 1 entity authentif iante, 

d) 1' entity authentif iante regoit le r^sultat y, 
effectue un calcul utilisant le r^sultat y et 
vdrifie que le r§sultat de ce calcul est 
identique £ 1 ' engagement regu x ou c auquel cas 
la premiere entity est authentifi£e ; 

un niveau de security egal & 1 - — pouvant etre 

d6fini pour cette authentif ication, & supposer que 
1' engagement x ou c possede un certain nombre minimum N 
de bits et l'616ment e un certain nombre k de bits, 
ce proc6d£ etant caracteris£ par le fait que : 
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le nombre de bits de 1' engagement x ou c est pris 
tr6s inf£rieur £ N ; 

le nombre de bits de 1* element e est pris un peu 
sup^rieur & k ; 
5 le niveau de s6curit6 restant alors le m€me. 

Expos6 d6taill6 de modes de realisation 

La definition pr£c6dente de l 1 invention 
s» applique notamment 3 trois protocoles connus, qui 
10 vont maintenant %tre d£crits a titre d'exemples non 
limitatifs, £ savoir, respectivement, le protocole de 
SCHNORR, celui de GUILLOU-QUISQUATER et celui de FIAT- 
SHAMIR. 

15 1) PROTOCOLE DE SCHNORR 

Le protocole d' identification de CP. 
SCHNORR (3) est bas§ sur la difficulty de calculer des 
logarithmes discrets. Les param&tres universels (c T est- 
a-dire ceux partag£s par tous les utilisateurs) sont : 
20 - un grand nombre premier p, 

- un nombre premier g tel que q soit un nombre 

premier divisant p-1 ou soit <§gal & p-1, 

- un entier a (la "base") tel que ct<Z=l (mod p) , 

- un petit entier k. 

25 

Les longueurs recommand£es pour n et q sont 
respectivement (au moins) de 512 bits et 140 bits ; k 
determine le nombre u de questions possibles par la 
relation u=2 k . Une valeur typique de k est 40 (ou 72 
30 pour le schema de signature correspondant ) . 

La cl§ secr&te d'un utilisateur est un 
entier s pris dans l'intervalle {l...g}. Sa cl§ 
publique est v-a-s (mod p) m Le prot0 cole est le 
suivant : 
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a) L'entite & authentifier choisit au hasard un 
entier r dans. 1 1 intervalle {l...g}, calcule 

x=a r (mod p) et envoie x au v£rificateur • 

b) L 1 entity authentif iante choisit au hasard un 
616ment e dans l'intervalle {0...2*-!} et envoie 
e k 1' entity & authentifier, 

c) L f entity & authentifier calcule y^r+se (mod q) et 
envoie y & 1* entity authentif iante . 

d) L' entity authentif iante contrCle que 
x=a>Ve ( m0 d p) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entity authentif iante avec 
une probability ygale k 2~ k , en choisissant un entier 
y, un 616ment e et en calculant x comme & l'ytape d) . 
Comme on peut prouver que, si le probl£nie du logarithme 
discret est difficile, il ne peut substantiellement 
ameliorer cette probability, le niveau de security est 
done 6gal & l-2~*. 

Afin de diminuer le nombre de bits 
transmis, I'auteur du protocole a sugg6r§ d'envoyer & 
l'ytape a) 1 ' engagement c=h(x) ou h est une fonction 
pseudo-al6atoire. Liquation de verification de I'ytape 
d) devient alors : 

c=h (ay (mod p) ) . 
Afin de conserver un niveau de security 
6gal & 1-2""*, il est n^cessaire, toutes choses ygales 
par ailleurs, que la longueur de c soit au moins de 128 
bits. 

Dans le protocole modifiy selon 
1' invention, la longueur de I 1 engagement de c est 
r^duite par exemple & 70 bits et cette reduction est 
compens£e par une augmentation de la longueur de e de 
trois bits seulement. Une autre possibility est de 
choisir 69 bits pour c et quatre bits d 1 augmentation 
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pour e. II peut alors etre demontre que le niveau de 
securite du protocole ainsi modifie reste egal a 1-2"*. 
On a ainsi reduit le nombre total de bits transmis de 
55 bits. Si l»on prend k=40, alors ce nombre total est 
egal a : 70+ (40+3) +160=273 au lieu de 128+40+160=328 
avec des engagements de 128 bits, soit un . gain 
d' environ 18%. 

L' invention est particulierement bien 
adaptee a ce protocole, en ce sens qu'elle n'entralne 
aucun changement des parametres universels principaux, 
a savoir p, q, a, ni meme des parametres individuels 
(cles secrete et publique de 1 'utilisateur) . De plus, 
elle est particulierement utile dans un mode 
d- utilisation particulier de ce protocole, qui consiste 
15 a stocker par avance les engagements. Ce mode 
d« utilisation est utilise lorsque le dispositif de 
securite de l'entite a authentifier ne dispose pas des 
ressources lui permettant d'effectuer des operations 
modulo un nombre de 512 bits (premier cas), ou bien les 
effectue en un temps trop eleve pour que 1 ' etape a) 
puisse etre execut6e au moment mime de 
1' authentication (deuxieme cas). 

Dans le premier cas, les engagements sont 
calcules par une autorite de confiance puis stockes 
25 dans la carte : le dispositif ne peut alors etre 
authentifie qu'un nombre limite de fois, egal au nombre 
d- engagements stockes. Cependant, lorsque ce nombre est 
atteint, il peut, par une procedure de rechargement 
d'engagements (eventuellement a distance), etre a 
nouveau capable d'effectuer des authentif ications . Dans 
le deuxiime cas, les engagements sont calcules par le 
dispositif de l'entite a authentifier prealablement a 
1' authentif ication. Dans les deux cas, afin de ne pas 
avoir a stocker les nombres aleatoires r 
35 correspondants, ces nombres sont avantageusement 
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produits par un g£nerateur pseudo-alSatoire contenu 
dans le dispositif de securite de 1' entity & 
authentifier . 

A titre d'exemple, si le dispositif de 
security de 1 1 entity & authentifier est une carte d 
microprocesseur standard, alors l'§tape a) ne peut §tre 
r£alis§e en un temps satisfaisant par la carte et meme, 
dans certains cas, ne peut etre r£alis§e du tout. II 
est alors n^cessaire de recourir au mode d' utilisation 
evoqu§ ci-dessus, et il est tres avantageux d'utiliser 
1» invention, qui ne requiert que le stockage de 70 bits 
pour une authentif ication. Si l'on peut disposer de 
IKoctet de m6moire reprogrammable £ cette fin, alors la 
carte pourra effectuer 117 authentif ications, apr£s 
quoi il faudra recharger de nouvelles valeurs 
d' engagements . 

Cette variante est encore plus int^ressante 
dans le cas du protocole d6crit dans la demande de 
brevet frangais n°94 01271 du 4 fdvrier 1994 intitul£e 
"Proc6d6 de signature numerique et d 1 authentif ication 
de messsages utilisant un logarithme discret", car, 
dans ce protocole, l'6tape c) ne contient pas 
d' operation modulo, ce qui fait que ce type d 1 operation 
n f a pas besoin d f §tre realis<§e dans la carte k 
microprocesseur . 

2) PROTOCOLE GUILLOU-QUISQUATER 

Le protocole d 1 identification de GUILLOU et 
QUISQUATER (4) est bas<§ sur la difficult^ de factoriser 
des grands entiers. Dans la version dite "bas6e sur 
1' identity" de ce protocole, une autorit<§ de confiance 
est utilis£e pour calculer les cl£s secretes des 
utilisateurs. Les param^tres universels sont : 
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- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autorit6 de 
conf iance) , 

- un entier premier u de nombre de bits Jc. 

La taille recommand<§e pour n est au minimum 
de 512 bits, Une valeur typique de k est 4 0 bits (ou 72 
pour le schema de signature correspondant) . 

La cl§ publique de 1' entity & authentifier 
est sont "identity" <c' est-3-dire une chaine binaire J 
contenant des informations a son propos et/ou & propos 
de son dispositif de s<§curite) . Sa cl§ secrete est la 
valeur s telle que s u J=l (mod n) . 

Le protocole de base est le suivant : 

a) L 1 entity & authentifier choisit au hasard un 
entier r dans l'intervalle {0..n}, calcule 
x=r u (mod n) et envoie x & l f entity 
authentif iante, 

b) 1' entity authentif iante choisit au hasard un 
61<§ment e dans l'intervalle {0, u-1} et envoie e 
& 1' entity & authentifier, 

c) l f entity & authentifier calcule y=rs e (mod n) et 
envoie y & 1 T entity authentif iante, 

d) l 1 entity authentif iante contraie que : 

x=yUje (mod n) . 

On remarque qu'un imposteur (qui ignore s) 
peut f acilement tromper une entity authentif iante avec 
une probability §gale k 1/u, en choisissant un entier 
y, un 61£ment e et en calculant x comme dans I'ytape d. 
Comme on peut prouver que, si le problSme de la 
factorisation est difficile, il ne peut 
substantiellement am£liorer cette probability, le 
niveau de security est done <§gal k I- {1/u), qui est de 
l'ordre de l-2~ k . 
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Afin de diminuer le norabre de bits 
transmis, on peut envoyer k l'etape a) 1 ? engagement 
c=h(x) ou h est une fonction pseudo-al§atoire . 
Liquation de verification de l'etape d) devient 
alors : 

c=h(y u I e (mod n) . 
Afin de conserver un niveau de s6curit6 du 
protocole de base 6gal & 1-2"*, il est n6cessaire, 
toutes choses §gales par ailleurs, que la longueur de c 
soit au moins de 128 bits. 

Dans le protocole modifi<§ selon 
1' invention, la longueur de c est r£duite par exemple & 
70 bits et cette reduction est compens^e par une 
augmentation de la longueur de e de trois bits 
seulement, ce qui implique une augmentation d'autant de 
la longueur de u. Une autre possibility est de choisir 
69 bits pour c et quatre bits d f augmentation pour e. II 
peut alors etre d£montr£ que le niveau de s6curit£ du 
protocole de base ainsi modifi§ reste 6gal £ l-2~*. On 
a ainsi r^duit le nombre total de bits transmis de 55 
bits. Si l'on prend /c=40, alors ce nombre total est 
<§gal & 70+ (40+3) +512=625 au lieu de 128 + 40+512=680 avec 
des engagements de 128 bits, soit un gain d' environ 8%. 

Les variantes dGcrites dans le cas du 
protocole de SCHN0RR sont encore applicables ici, raais 
sont moins int^ressantes en ce sens que 1 1 6tape c) 
consiste en une operation modulaire importante qui, 
contrairement & celle de l'etape a), ne peut §tre 
effectu§e & l'avance. 

3°) PROTOCOLE FIAT -SHAMIR 

Le protocole d' identification de FIAT et 
SHAMIR (1) est bas<§ sur la difficult § de factoriser des 
grands entiers. Dans la version dite "bas§e sur 
1' identity" de ce protocole, une autorit£ de confiance 
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est utilisee pour calculer les cles secretes des 
utilisateurs. Les parametres universels sont : 

- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autorite de 
confiance) , 

- deux petits entiers k et t, 

- une fonction pseudo-aleatoire /. 
La taille recommandee pour n est au minimum 

de 512 bits. Les valeurs de Jt et t sont etroitement 
reliees au niveau de securite du protocole (comme il 
sera decrit plus loin) ; le nombre u de questions 
possibles et le parametre k sont relies par la relation 
u=2*. Des valeurs typiques de k et t sont 8 et 5 (ou 9 
et 8 pour le schema de signature correspondant) . 

La cle publique de l'entite a authentifier 
est son "identite" (C est-a-dire une chaine binaire I 
contenant des informations a son propos et/ou a propos 
de son dispositif de securite). Sa cle secrete est 
constitute de k valeurs Sj calculees comme suit : soit 
20 Vj-fiXj) pour k petites valeurs de j telles que Vj est 
un carre dans 1- ensemble des entiers modulo n (pour la 
commodite de la description, on supposera que j=l..jt). 
Alors sj2 V j=l (mod n) pour toute valeur de j. 

Le protocole de base est le suivant : 
25 a) l'entite a authentifier choisit au hasard un 

entier r dans l'intervalle {0..n}, calcule 
x=r2 (mod n) et envoie x & l'entite 
authentifiante, 

b) l'entite authentifiante choisit au hasard un 
30 element e=( ej , e 2 e k ) dans {0,1}^ et envoie 

e 4 l'entite 4 authentifier, 

c) l'entite a authentifier calcule y=rJJ Sj (mod n) 

. 3 =i 

et envoie y a l'entite authentifiante, 
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d) 1* entity authentif iante calcule tous les Vj et 
controle que : x=y 2 J^[ Vj (mod n) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entity authentif iante avec 

5 une probability egale £ 2"^, en choisissant un entier 
y, un Element e et en calculant x comme dans l'etape 
d) . Comme on peut prouver que, si le probleme de la 
factorisation est difficile, il ne peut 
substantiellement ameliorer cette probability, il 

10 suffit de repeter t fois le protocole de base pour 
obtenir un niveau de security egal & 1- (1/u) £=1-2'** . 

Afin de diminuer le nombre de bits 
transmis, les auteurs du protocole ont sugger£ 
d'envoyer k l'etape a) 1 T engagement : o=h(x) ofc h est 

15 une fonction pseudo-aleatoire . L' equation de 
verification de l'etape d) devient alors : 
(y 2 n Vj (mod n) ) 

Afin de conserver un niveau de securite 
du protocole de base egal & 1-2"*, il est necessaire, 
20 toutes choses egales par ailleurs, que la longueur de c 
soit au moins de 128 bits. 

Dans le protocole modifie selon 
1 1 invention, la longueur de c est reduite par exemple & 

25 7 0 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
seulement. Une autre possibility est de choisir 69 bits 
pour c et quatre bits d 1 augmentation pour e. II peut 
alors §tre demontre que le niveau de securite du 

30 protocole de base ainsi modifie reste egal k l-2~*. On 
a ainsi reduit le nombre total de bits transmis de 55 
bits. Si l'on prend .£=8 et t=5, alors ce nombre total 
est egal 4 : 70+ (8 + 3) +512=593 au lieu de 128+8 + 512=648 
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avec des engagements de 128 bits, soit un gain 
d f environ 8,5%. 

Cependant, un inconvenient de I 1 invention 
appliqu6e k ce protocole d 1 identification est qu'elle 
implique un plus grand nombre de secrets, puisque la 
longueur de e est pr6cis6ment 6gale k ce nombre, k 
savoir k. De plus, le nombre de multiplications 
suppiementaires k effectuer par chacune des entit^s 
augmente proportionnellement de fagon importante, et ce 
d'autant plus que k est choisi petit. Ainsi, 
1' invention comporte-t-elle dans ce cas des avantages 
et des inconv6nients . 

L f invention qui vient d'etre d£crite porte 
sur une authentif ication d 1 entity. Mais 1' invention, 
s' applique k d'autres sch£mas comme 1 ' authentif ication 
de messages et la signature num&rique de messages. 

Dans les sch6mas d' authentif ication de 
messages et de signature num^rique de messages, 
l f entity k authentif ier, en plus de prouver son 
identite, attache cette identity k un message donn£. 
Cela se passe de mani£re interactive dans les sch^mas 
d' authentif ication de message et de mani£re non 
interactive dans les sch6mas de signature de message. 
L f invention est susceptible de s'appliquer surtout aux 
sch6mas d' authentif ication de messages d§riv§s de 
protocoles d' identification k connaissance nulle (en 
particulier les trois protocoles pr§cit6s) . 

Le fait que 1' invention s' applique ou non k 
ces sch^mas depend de la fag:on exacte dont ils sont 
d§riv£s du protocole d r identification initial. La fagon 
classique consiste ct faire figurer le message M dans 
les param^tres y de la fonction pseudo-al6atoire h, ce 
qui donne : 

c=h (x, M) au lieu de c=h(x). 
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Dans les schemas d' authentif ication de 
messages, le reste du protocole ne differe pas, & 
1' adaptation evidente pr£s de 1' operation d) de 
verification. Dans les schemas de signature, pour 
5 lesquels 1' entity signataire n'intervient pas dans les 
stapes a) et b) , on choisit e=c, ce qui, a priori, 
enieve de l'interet k 1» invention. Pour les deux types 
de schemas, il y a de toute facon la crainte que, si c 
est inferieur k 128 bits, alors l f entity k authentifier 
10 ne soit capable, pour un nombre >: issu du protocole, de 
trouver deux messages distincts M et M' aboutissant k 
la m§me valeur de c. 

Si l'on se trouve dans un environnement oCi 
l'on n'a pas cette crainte (soit que la mise en oeuvre 
du protocole dans le dispositif de securite rende cette 
attaque impossible, soit que l'on considere que les 
entites k authentifier sont dignes de confiance soit 
encore qu'une telle attaque serait sans interet pour 
eux) , alors 1' invention s' applique. 
20 De facon genSrale, 1 'application de 

l f invention k d'autres schemas que des protocoles 
d' identification est possible, mais depend des 
specifications exactes de ces schemas ainsi que de leur 
realisation pratique. 

25 A titre d'exemple, le schema 

d' authentif ication de message derive du protocole de 
SCHNORR est le suivant : 

a) l'entite a authentifier choisit au hasard un 
entier r dans {l..g}, calcule x=a-^(mod p) , puis 
c=h(x,M) et envoie c a l'entite authentif iante, 

b) l'entite. authentif iante choisit au hasard un 
element e dans {0. .2*-l} et l'envoie k l'entite k 
authentifier, 

c) l'entite a authentifier calcule y-r+se (mod q) et 
envoie y k l'entite authentif iante, 
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d) 1 T entity authentif iante controle que : 
c=h (aYv^ (mod p) ,M) . 

Dans un environneraent ou ce schema peut 
§tre modifi6 selon 1' invention, alors le gain est 
exactement le itiSme que pour le protocole 
d* identification modifi£. 
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RE VEND I CAT I ONS 

1. Proc6d6 d 1 authentication a nombre 
rSduit de bits transmis, entre une premiere entity dite 
a authentifier et une seconde entity dite 
authentifiante, ce proc§d£ comprenant les operations 
suivantes : 

a) l f entit§ a authentifier choisit au hasard un 
(des) param£tre(s) r, calcule un (des) nombre (s) 
appel6(s) engagement (s) c fonction(s) du (des) 
param£tre(s) r et envoie cet (ces) engagement (s) 
c a 1» entity authentif iante, cet (ces) 
engagement (s) comprenant un certain nombre de 
bits, 

b) l f entit§ authentif iante recoit le (ou les) 
engagement (s) c, choisit au hasard un nombre e 
dans un certain ensemble, ce nombre £tant appe!6 
"61§ment" et ayant un certain nombre de bits et 
envoie cet 616ment e a 1' entity a authentifier, 

c) l'entite a authentifier recoit 1* element e, 
effectue un (des) calcul(s) utilisant cet element 
e et envoie le (les) resultat(s) y a 1' entity 
authentif iante, 

d) 1' entity authentif iante recoit le resultat y, 
effectue un calcul utilisant le (les) rSsultat (s) 
y et v£rifie que ce calcul redonne le (les) 
engagement (s) recu(s) c auquel cas la premiere 
entity est authentifiSe ; 

un niveau de s6curit§ egal a 1 - — pouvant Stre 

u 

d6fini pour cette authentif ication, a supposer que le 
(les) engagement (s) c possSde(nt) un certain nombre 
minimum N de bits et que l'616ment e fait partie d'un 
certain ensemble a u elements et poss£de un certain 
nombre k de bits, 
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ce proced<§ £tant caract<§ris£ par le fait que : 

le nombre de bits de (des) engagement (s) c est 
pris tr£s inf6rieur k N ; 

1' ensemble dans iequel est choisi 1' Element e est 
pris un peu plus grand, ce qui se traduit par un 
nombre de bits de 1' element e un peu sup^rieur § 
k ; 

le niveau de s6curit6 restant alors le m§me. 

2. Proc6de d f authentification selon la 
revendication 1, comprenant les operations suivantes : 

a) . 1' entity & authentifier choisit au hasard un 

entier r compris entre 1 et un nombre q et cal- 
cule un nombre x 6gal k a r (modulo p) ou a est* un 
entier appel<§ base tel que a<9T = l (modulo p) , et 
ou q est soit un nombre premier divisant p-1 soit 
6gal & p-1 ou p est un grand nombre premier ; 
1' entity & authentifier envoie une fonction 
c=*h(x) du nombre x ou h est une fonction 
pseudo-al6atoire) , le nombre envoys c constituant 
1 1 engagement , 

b) . l'entite authentif iante B choisit au hasard un 

61§ment e ayant un certain nombre de bits et 
envoie cet 616ment k 1' entity a authentifier, 

c) . l'entitd k authentifier calcule un nombre y 6gal 

k r + s.e (modulo q) , ou s est la cl§ secrete de 
1' entity £ authentifier, s etant un entier 
compris entre 1 et q, et envoie le nombre y h 
1' entity authentif iante, 

d) . 1' entity authentif iante retpoit le nombre y, 

calcule aY v e (modulo p) ou v est la cl6 publique 
de 1' entity k authentifier, soit v=a~ 3 (modulo p) 
et verifie c=*h(aYv e modulo p) ) ; 
un niveau de s£curit6 §gal a 1 - ^ pouvant etre ddfini 

en supposant pour 1 1 engagement c un nombre minimum de 
bits 6gal k 128 et pour 1' <§16ment e un nombre de bits 
£gal £ k, 
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le proc£de etant caracterise par le fait que le nombre 
de bits de 1 1 engagement c est infSrieur & 128 de 
plusieurs dizaines d' unites et le nombre de bits de 
1' element e est sup§rieur de quelques unites au nombre 
k, le niveau de securite restant le m£me. 

3. Proc6de d' authentif ication selon la 
revendication 2, caracterise par le fait que le nombre 
de bits de 1« engagement c est voisin de 70 et le nombre 
de bits de 1' element e est voisin de 43, le niveau de 
security obtenu etant le meme qu ' avec un engagement c 
de 128 bits et un element e de 4 0 bits, 

4. Procede d f authentif ication selon la 
revendication 2, caracterise par le fait que, dans 
1' operation c) l'entite a authentif ier calcule un 
nombre y egal & r + se. 

5. Procede d' authentif ication selon la 
revendication 1 dans lequel : 

a) . 1* entity k authentif ier choisit au hasard un 

entier r compris entre 0 et n, oh n est un grand 
entier non premier et calcule x = r u (modulo n) 
ofc u est un entier ayant une certaine longueur et 
envoie & 1' entity authentif iante le nombre c=h(x) 
oCi h est une fonction pseudo-aieatoire, le nombre 
envoys c constituant 1 1 engagement . 

b) . l'entite authentif iante choisit au hasard un 

element e compris entre 0 et u-I et envoie e k 
l'entite £ authentif ier, 

c) . l'entite & authentif ier calcule y=rs e (modulo n) 

oti s est la cie secrete de l'entite k 
authentif ier telle que s u J=l (modulo n) , oh I est 
la cie publique de l'entite a authentif ier, et 
l'entite £ authentif ier envoie le nombre y k 
l'entite authentif iante, 
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d) • l'entite authentif iante regoit le nombre y, 
calcule h (y u I e modulo n) ) et verifie que l'on 
retrouve 1 1 engagement/ 

un niveau de s£curit§ 6gal 4 1-— pouvant etre d£fini 

en supposant pour l f engagement c un nombre minimum de 
bits (N) 6gal 4 128 et en supposant pour l'616ment e un 
nombre de bits 6gal 4 k, 

ce proc£d£ 6tant caract6ris£ par le fait que le nombre 
de bits de 1' engagement c est inf§rieur 4 128 de 
plusieurs dizaines d'unit§s, et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de s£curit£ restant le meme. 

6. Proc6d6 d 1 authentif ication selon la 
revendication 5, caract6ris6 par le fait que le nombre 
de bits de 1' engagement c est voisin de 70 et le nombre 
de bits de l f §16ment e voisin de 43, le niveau de 
s&curite obtenu §tant le meme qu'avec un engagement de 
128 bits et un 61&ment e de 40 bits. 

7. Proc£d§ d f authentif ication selon la 
revendication 1, comprenant les operations suivantes : 

a) . 1' entity 4 authentif ier choisit au haskrd un 

entier r compris entre 0 et n ou n est un grand 
entier non premier, calcule x=r 2 (modulo n) et 
envoie 4 1' entity authentif iante le nombre c=h{x) 
ou h est une fonction pseudo-al£atoire, le nombre 
envoys c constituant 1 1 engagement, 

b) . 1* entity authentif iante choisit au hasard un 

616ment e comprenant un certain nombre de bits et 
envoie e 4 1' entity 4 authentif ier, 

c) • 1' entity 4 authentif ier calcule le produit par r 

d'un produit de valeurs Sj ou 1' ensemble des Sj 
pour toute valeur de j constitue la cl6 secr4te 
de 1' entity 4 authentif ier, et l'entit4 4 
authentifier envoie le resultat y de ce calcul 4 
l f wDtit<§ authentif iante, 
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d) . 1» entity authentif iante calcule la valeur du 
produit par y 2 du produit des Vj (modulo n) , 
applique au resultat ainsi trouve la fonction h 
et verifie que le r§sultat trouve s'identifie a 
1 ' engagement c, 

un niveau de security 6gal a 1-^- pouvant etre defini a 

supposes pour 1' engagement c, un norabre minimum de 
bits 6gal a 128 et pour 1" element e un nombre de bits 
egal a k, en repetant t fois les operations a) ad), 
ce procede etant caract§rise par le fait que le nombre 
de bits de l 1 engagement c est inferieur a 128 de 
plusieurs dizaines de bits et le nombre de bits de 
1' element e est supdrieur de quelques unites au nombre 
k, le niveau de securite restant le meme. 

8. Proc§de d' authentif ication ' selon la 
revendication 7, caracteris<§ par le fait que le nombre 
de bits de 1' engagement c est voisin de 70, le nombre k 
de bits de 1' element e voisin de 11 et le nombre t 
voisin de 5, 

9. Procede d' authentif ication selon 1'une 
quelconque des revendications 1 a 7, caracteris§ par le 
fait que l'entite authentif iante effectue en outre une 
authentif ication d'un message M emis par l'entite a 
authentif ier, 1 « entite a authentif ier calculant dans 
1' operation a un engagement c egal a h (x,M) oCi M est le 
message a authentif ier, et 1' entity authentif iante 
verifiant, dans 1 'operation d) que la fonction h du 
calcul qu'elle effectue et du message AT qu'elle a regu 
est identique a l 1 engagement c. 

10, Procede selon la revendication 1, 
caracterise par le fait qu'il comprend des echanges 
supplementaires entre la premiere et la seconde entitSs 
consistant chacun en l'echange d'un element e 
supplemental^ et d'un resultat y supplemental^ . 



